首页 >  威科专题 > 专题查看

01
项目亮点
02
项目详解
03
关于团队

01 项目亮点

适逢新规出台,依据清晰明确

本项目开始时,恰逢《指南》正式出台后不久。《指南》中所规定的评估原理、评估方法及评估内容为本项目的顺利开展提供了清晰明确的指引,为企业之后在业务活动中践行《指南》打下了良好的基础。

工作节奏紧凑,项目周期较短

考虑到项目所涉技术服务对客户的重要性,为配合业务的紧急需求,本项目在三周之内完成了尽职调查、评估报告撰写及显著风险改进等工作,对项目可能存在的风险进行了评估并提出了相应的持续改进建议,确保了业务的顺利、合规进行。

着眼重点问题,集中展开评估

本项目的评估对象为客户委托第三方技术服务提供商进行数据处理活动的行为,重点在于对委托行为本身及第三方技术服务提供商的数据处理能力及信息安全能力进行评估。针对此重点,我们依照《指南》给出的评估要点并参照相关国际标准进行了集中评估。

深度融入客户,协助落实改进

由于客户是第一次进行个人信息安全影响评估工作,在评估团队组建、评估工作具体执行、评估报告发布及风险治理改进方面都缺乏一定的经验。我们在与客户深度沟通的基础上,协助组建评估团队,并在客户的积极支持和配合下顺利完成了具体的评估工作并协助客户针对可能存在的显著风险进行了整改。

熟练运用经验,借鉴先进实践

在此项目开展前,我们曾协助其他客户开展过个人信息安全影响评估及针对个人信息跨境传输的评估工作,具有较为丰富的经验。同时,项目组律师对GDPR、相关国际标准及国际先进事件经验都有深度的了解,助力本项目顺利开展。

02 项目详解

本项目的客户为一家大型金融公司(以下称为“A公司”),其业务领域为强监管的消费金融行业,业务覆盖全国,个人客户数量达到千万级别。由于业务需要,其希望委托第三方技术服务供应商对其收集的用户个人信息进行部分数据处理工作。为保证业务活动的合规进行,A公司委托中伦项目组律师在数据委托处理项目开展前进行评估。项目组律师在充分进行尽职调查的基础上,重点依据GB/T 39335 2020《信息安全技术 个人信息安全评估指南》(“指南”)对该数据委托处理项目可能对用户权益造成的影响及安全事件可能性等方面的风险进行了综合评估,并提出了相应的持续改进建议。

本文将详细介绍该项目的实施经验,全景展示进行个人信息安全影响评估的过程,为企业提供可理解、可操作、可落地的实践建议。

项目名称:A公司数据委托处理项目个人信息安全影响评估

项目时间:2021年3-4月

承办律师:陈际红、陈瑊、杨润、骆天

本项目的客户A公司所在的业务领域为强监管的消费金融行业,业务覆盖全国,个人客户数量达到千万级别。由于业务需要,其希望委托第三方技术服务供应商对其收集的用户个人信息进行部分数据处理工作。

经过与A公司的沟通,我们了解到,此次委托处理场景涉及A公司所收集的用户个人信息(不包括C3及C2类别信息中的用户鉴别辅助信息1),其中包括大量的个人敏感信息、个人金融信息等,数据规模大,敏感程度高,一旦发生数据泄露等安全事件将对个人信息主体、业务正常运行及公司形象造成重大影响。同时,A公司对供应商的数据处理能力及安全保障能力的了解尚不充分。

作为《个人信息保护法(草案)》的亮点之一,草案设置了个人信息安全影响评估(Personal Information Security Impact Assessment, “PISIA”或“PIA”)制度性安排,一旦生效,将将成为数据处理者的一项法定义务。同时,《指南》也将于2021年6月1日正式实施,指南详细规定了进行PIA的流程和基本要求。基于立法的大趋势,合规意识较强的企业已开始有针对性的开展个人信息安全影响评估工作。

基于上述原因,我们认为,为保证数据处理活动的合规性,根据《个人金融信息保护技术规范》2及《指南》的规定,此次数据处理活动有必要进行个人信息安全影响评估。经过充分沟通,A公司委托项目组律师在数据委托处理项目开始前展开评估。

 

【注释】

1. 根据《个人金融信息保护技术规范》的规定,C3类以及C2类别中的用户鉴别辅助信息,不应委托给第三方机构进行化成处理。

2. 《个人金融信息保护技术规范》第6.1.4.4条金融业机构因金融产品或服务的需要,将收集的个人金融信息委托给第三方机构(包含外包服务机构与外部合作机构)处理时,具体技术要求如下:……d)应对委托行为进行个人金融信息安全影响评估,并确保受委托者具备足够的数据安全能力,且提供了足够的安全保护措施;……

1、法律演进——PIA逐渐从企业良好实践到强制性法律要求

1)什么是PIA

根据《指南》,个人信息安全影响评估是针对个人信息处理活动,检验其合法合规程度,判断其对个人信息主体合法权益造成损害的各种风险,以及评估用于保护个人信息主体的各项措施有效性的过程。评估旨在发现、处置和持续监控个人信息处理过程中的安全风险。评估的主要意义在于督促企业建立预警机制,进行合规性检查,同时也有利于企业展示其保护个人信息安全的努力,提升透明度,增强个人信息主体对其的信任。

图1:对PIA的理解

对PIA的理解包括两个层次,首先,PIA可能成为一项法定的合规义务。在我国现行的法规、国家标准等不同层面,对个人信息安全影响评估也提出了明确的要求。例如,2019年实施的《儿童个人信息网络保护规定》、2020年实施的《个人金融信息保护技术规范》等。2020年10月21日公布的《个人信息保护法(草案)》中,明确了个人信息处理者应当对个人信息处理活动进行事前进行风险评估的场景,同时明确了对处理情况进行记录的合规义务。根据立法趋势判断,正式生效的《个人信息保护法》有较大可能保留该规定,一旦正式其发布,个人信息安全影响评估将成为一项确定的法定义务。

欧盟《通用数据保护条例》(GDPR)下有一个类似的法律制度安排——个人数据保护影响评估(Data Protection Impact Assessment,“DPIA”)。根据GDPR第35条,在数据处理活动可能会给个人数据主体的权利和自由造成高风险时,数据控制者应当履行DPIA的法定义务。

其次,PIA是一种普遍适用的数据处理活动风险评估方法论。即使一项数据处理活动不属于法定需要进行个人信息安全影响评估的场景,企业同样可以运用个人信息安全影响评估的基本原理和方法论,对具体场景下可能存在的合规风险进行分析,并在此基础上采取相应的应对措施,不断提高合规水平。

2)何时需执行PIA

对于PIA的适用场景,如前所述,目前诸多法律法规、国家标准等不同层面的规范性文件对PIA提出了明确的要求。我们对上述要求进行了梳理,具体如下表:

规范文件名称

PIA触发场景

《个人信息保护法(草案)》
【强制性要求】

  • 处理敏感个人信息;
  • 利用个人信息进行自动化决策;
  • 委托处理个人信息、向第三方提供个人信息、公开个人信息;
  • 向境外提供个人信息3
  • 其他对个人有重大影响的个人信息处理活动。
  • 《儿童个人信息网络保护规定》
    【强制性要求】

  • 委托第三方处理儿童个人信息(第16条)
  • 向第三方转移儿童个人信息(第17条)
  • JR/T 0171—2020《个人金融信息保护技术规范》
    【行业推荐性实践】

  • 共享转让(6.1.4.2)
  • 公开披露(6.1.4.3)
  • 委托处理(6.1.4.4)
  • 汇聚融合(6.1.4.6)
  • GB/T 35273-2020《信息安全技术个人信息安全规范》
    【推荐性实践】

  • 基于不同业务目的所收集个人信息的汇聚融合(7.6)
  • 信息系统自动决策机制的使用(7.7)
  • 委托处理(9.1)
  • 个人信息共享、转让(9.2)
  • 个人信息公开披露(9.4)
  • 在产品或服务发布前,或业务功能发生重大变化(11.4.c)
  • 法律法规有新的要求时,或在业务模式、信息系统、运行环境发生重大变更(11.4.d)
  • 发生个人信息安全事件后(10.1.c)
  • 《互联网个人信息安全保护指南》
    【推荐性实践】

  • 第三方委托处理个人信息(6.5)
  • 共享和转让个人信息(6.6)
  • 公开披露个人信息(6.7)
  • 表1:PIA触发场景

    对于企业而言,在涉及上述触发场景的情况(尤其是强制性要求的场景下的)进行PIA并处置个人信息处理活动存在的安全风险,是遵循相关法规的,完善合规工作的应有之义。除此之外,《指南》还建议企业在法律法规及标准的基线之上主动进取,在涉及高风险个人信息处理活动时进行尽责性风险评估。

    与GDPR下对DPIA的要求一致,目前我国强制要求需进行PIA的场景核心特点同样为可能会“对个人有重大影响”、“对个人基本权利和自由带来高风险”。除上表中列出的场景以外,《指南》附录B还列出了其他高风险个人信息处理活动示例(例如涉及对个人信息主体的评价或评分、使用个人信息进行自动分析给出司法裁定或其他对个人有重大影响的决定),与欧盟数据保护委员会(EDPB)前身第29工作组(WP29)发布的指南4基本一致。

    3)如何执行PIA

    图2:PIA流程图

    (1)人员配置

    根据《指南》,企业可以指定负责执行PIA的责任部门或责任人员,负责整体工作流程的指定、实施、改进,并对PIA工作结果的质量负责。由于PIA涉及多个部门的共同配合,实践中企业通常会组建包括业务部门、法务部门、合规部门及信息安全部门的评估工作组或评估团队。

    PIA可以由企业自己进行,也可以聘请外部独立第三方来承担具体的评估工作。需要注意的是,无论是企业自己进行评估还是聘请外部第三方进行评估,企业所指定的责任部门或责任人员仍为责任主体,对工作结果负责。

    (2)评估流程及要求

    根据《指南》,评估工作内容主要包括数据映射分析、个人权益影响分析、安全事件可能性分析、风险综合评估四个部分(基本原理如下图)。

    图3:PIA基本原理

    数据映射分析(Data Mapping)是评估工作的基础。评估团队需根据个人信息的类型、敏感程度、收集场景、处理方式、涉及相关方等要素,对个人信息处理活动进行分类调研,并描述每类个人信息处理活动的具体情形,便于后续分类进行影响分析和风险评价。一般来说,数据映射分析的方法为数据调研,包括访谈、检查等方式。调研内容包括个人信息收集、存储、使用、对外提供、废弃环节涉及的目的和具体实现方式,以及个人信息处理过程涉及的资源和相关方(如策略和规程、合同和协议、内部信息系统、个人信息处理者、第三方、交易平台经营者、外部服务供应商、云服务商等),调研过程中应考虑已下线系统、系统数据合并、企业收购、并购及全球化扩张等情况。在数据映射分析完成后,评估团队需形成清晰的数据清单及数据映射图表,为后续的评估提供有效依据。

    在结束数据映射分析后,需要根据调研结果进行个人权益影响分析及安全保护措施有效性分析。在个人权益影响分析中,其分析过程包括个人信息敏感程度分析、个人信息处理活动特点分析、个人信息处理活动问题分析,以及综合前阶段分析结果的综合影响程度分析。安全保护措施有效性分析的分析要素包括网络环境和技术措施、个人信息处理流程、参与人员和第三方以及业务特点和规模及安全态势。

    完成个人权益影响分析及安全保护措施有效性分析后,应结合二者的评估结果进行风险综合评估,并形成评估报告作为评估工作成果。此后,还应根据评估结果进行风险处置和持续改进。在完成评估报告和风险处置后,企业可以根据内部管理制度要求或实际情况决定是否公布评估报告。

    2、项目执行——PIA项目的实施经验

    在前文所述项目中,接到A公司委托后,项目组律师对其需求进行梳理,分析项目重难点。经初步分析,项目组律师判断,本项目面临的重难点问题主要包括:

    数据映射工作量大:该项目中数据委托处理活动涉及公司所掌握的千万级别的用户的个人信息,数据字段数万行。

    企业内部分工不明确:A公司在此次个人信息安全影响评估之前并未开展过评估工作,尚未建立个人信息安全评估机制,对于应当由何部门及人员组织领导评估工作缺少明确认知。

    供应商安全保障能力及后续处理措施不够明确:在评估前,A公司对于供应商的能力缺乏明确了解。

    项目时间紧张:由于该数据处理的技术服务对于A公司的业务开展有重要意义,因此A公司希望在短时间尽快内完成评估工作,项目安排紧凑。

    根据上述项目重难点分析,结合《指南》给出的评估原理及流程,项目组律师制定了如下工作计划:

    图4:PIA工作计划

    1)评估团队组建

    《指南》中明确,组织应当制定个人信息安全影响评估的责任部门或责任人员,由其负责领导本项目工作、负责签署评估报告,并对评估工作的质量负责。同时,公司管理层需为评估团队配置必要的资源。

    在本项目中,由于暂未进行系统的数据映射分析,同时涉及大量对信息系统的安全性判断、技术措施有效性判断及供应商技术评估,仅依靠企业法务合规部门无法对评估工作提供足够的支持。因此,项目组律师根据A公司实际情况,建议其组建了以数据处理项目负责人(业务)为PIA负责人,包含法务合规部门、信息安全部门、IT运维部门人员的评估团队,共同推进评估工作的进行。

    2)数据映射分析

    项目组律师采取了调查问卷与访谈相结合的方式,结合A公司初步梳理的数据字典,对数据处理活动及A公司本身的安全保障能力进行全面摸底,了解了此次数据处理活动的项目背景情况,委托数据处理的范围、处理方式、时间及频次,同时对供应商的安全能力、对数据可能的处理情况等进行了调查,为后续的分析打下了坚实的基础。

    3)个人权益影响分析及安全分析

    (1)个人权益影响分析

    个人权益影响分析是指根据不同的个人信息处理活动,分析其是否存在对个人信息主体权益产生影响。在本项目中,首先,在数据映射分析的基础上,项目组律师确认了此次数据处理涉及的个人信息的敏感程度,并根据A公司所采取的降低数据的敏感程度的措施对敏感程度进行了修正;其次,根据此次数据处理活动的传输方式、流程、频次,对传输是否会涉及限制个人自主决定权、引发差别待遇、个人名誉受损或遭受精神压力、人身财产受损等情况进行了分析;随后,项目组律师又从所涉数据的收集正当性、授权同意情况、数据接收方的处理目的、安全事件通知机制等多个维度对此次数据处理活动的问题进行分析。最终,在前述分析的基础上,依据《指南》给出的判定方法及标准,结合其附录D.2中的《个人权益影响程度判定准则》及《影响程度判定表》,项目组律师对此次数据处理项目对个人权益产生的影响进行了综合性判定。

    (2)安全措施有效性分析

    安全措施有效性分析即风险源识别,重点在于分析个人信息处理活动面临的威胁以及是否采取足够的安全措施。在安全措施有效性分析评估过程中,由于此次数据处理活动属于个人信息委托处理前的影响评估,项目组律师参考《指南》附录A.5所给出的评估要点,分别通过安全防护体系、安全管理制度、人员管理制度、审计机制、应急处置预案及数据处理流程、投诉情况及安全事件等角度对A公司及供应商的数据安全能力进行评估。在此基础上,项目组律师综合二者的分析结论,根据《指南》附录D.1中的《安全事件可能性等级判定准则》及《可能性判定表》,逐项对照其给出的可能性描述及客户业务的满足程度,同时结合ISO 27001标准5、GB/T 37998-2019《信息安全技术 数据安全能力成熟度模型》等信息安全相关标准文件,对此次数据处理项目的安全保护措施有效性进行了综合性判定。

    4)风险评估及报告输出

    图5:个人信息安全风险综合评估

    在完成个人权益影响分析评估及安全措施有效性分析评估后,依据《评估指南》给出的判定方法及标准,结合其附录D.5中的《风险等级判定表》,项目组律师综合个人权益影响程度和事件发生可能性的评估结果,从上述两个维度对本次数据处理项目进行了个人信息安全风险综合评估。

    同时,项目组律师还结合此次数据处理双方的数据安全能力、业务的重要程度及立法、执法趋势,对此次数据处理项目提出了操作建议。在与A公司充分沟通后,评估团队形成成了《A公司-数据处理项目-个人信息安全影响自评估报告》,并予以发布。

     

    【注释】

    3. 对于进行个人信息跨境传输时的安全评估,《信息安全技术 数据出境安全评估指南》(2017征求意见稿)及《个人信息出境安全评估办法》(2019征求意见稿)规定了细致的评估流程和评估要求。我们理解,个人信息安全影响评估的方法论同样适用。

    4. Guidelines on Data Protection Impact Assessment (DPIA) and determining whether processing is “likely to result in a high risk” for the purposes of Regulation 2016/679
    其中列举的“可能给个人权利和自由带来高风险”的场景包括:Evaluation or scoring, Automated-decision making with legal or similar significant effect, Systematic monitoring, Sensitive data or data of a highly personal nature, Data processed on a large scale, Matching or combining datasets, Data concerning vulnerable data subjects, Innovative use or applying new technological or organisational solutions, the processing in itself prevents data subjects from exercising a right or using a service or a contract.

    5. ISO/IEC 27001 Information technology-Security Techniques-Information security management systems-requirements.

    在涉及PIA触发场景的情况(尤其是强制性要求的场景下的)进行PIA并处置个人信息处理活动存在的安全风险,是遵循相关法规的要求,完善合规工作的应有之义。因此,企业应当提前准备、主动应对,针对自身的个人信息处理活动及合规实践,建立并落实适合企业实际情况的PIA机制。PIA机制应当包括由谁执行、如何执行、如何决策等内容,我们建议企业可以从以下几个方面着手:

    1. 明确职责分工

    图6:职责划分

    一般而言,业务作为需求方,应对数据处理活动的风险负责。业务部门在开展数据处理活动之前及开展数据处理活动的全过程中,均应当具备风险评估的意识,在遇到高风险场景时清楚地认识到需进行PIA。
    由于PIA是一项综合性的风险评估活动,其中既涉及到信息安全风险的分析,同时也包括在此基础上对个人权益影响的分析。因此,在实践中往往由信息安全部门或法务部门牵头执行。业务部门、信息安全部门及法务合规部门可组成PIA评估团队,负责PIA工作的具体执行及持续改进。企业可根据自身的实际情况指定适当的责任部门或责任人,作为PIA团队的领导,对评估结果负责。

    2. 嵌入业务流程

    图7:内部流程

    首先,企业PIA机制应当明确进行PIA的内部流程。一般情况下,可以分为以下几个阶段:

    第一阶段:业务部门在进行数据处理活动时如遇到可能会导致高风险的场景,则在法务合规的协助下判断是否会触发PIA。针对可能触发PIA的场景,企业应当以客观化、量化的方式明确列出,方便业务部门理解。

    第二阶段:如是,企业应及时组建PIA团队,由其负责制定PIA计划,执行PIA具体要求并输出PIA报告。

    第三阶段:由企业个人信息保护专员审批PIA报告。业务部门需根据评估结果,在法务合规及信息安全部门的协助下进行风险处置并持续改进。如有必要,PIA团队可以制定报告发布策略并公开发布。

    其次,企业应当将PIA嵌入业务流程。业务部门在初步构思一项数据处理活动或涉及一项产品功能之前,可以融入设计和默认的隐私保护(Privacy by Design and Default,PbD)理念,通过PIA的方式识别可能存在的数据保护风险,在结合PbD 机制,充分地将隐私保护要求内化到构建数据处理活动概念之初,以减少产品的隐私漏洞及后续添加升级时的高昂成本。

    3. 善用外部资源

    考虑到PIA的专业性和复杂性,企业可以引入外部第三方机构协助进行评估。在此种情况下,由于报告内容依赖于第三方专业意见,企业可以在评估报告增加第三方评估机构(如律所或技术机构)意见的部分,作为企业作出评估分析的依据,以彰显评估结果的客观性、专业性。

    此外,若由企业自身进行PIA,可考虑借助智能化工具对评估工作进行辅助。《指南》在评估准备工作的介绍中提到了自动化评估工具的使用6。在GDPR项下,为简化业务评估流程,避免资源浪费,部分大型技术公司设计研发了DPIA智能化评估工具以帮助企业进行GDPR项下的合规义务履行。上述工具的核心逻辑在于对评估要点的量化。法律评价的基础在于事实判断,自动化评估工具结合统计学的计算和法律理解,通过一系列便于企业填写的简单问题以及对问题的加权、赋值等计算,智能生成可视化的评估结果,以便于企业简便地完成其DPIA工作。

    目前,上述工具在国内尚未大规模使用,但已有部分企业开始探索中国法律体系下PIA的智能化评估工具,我们也在积极协助企业的工具开发工作。我们建议企业对自身业务进行评估判断,若可能大量触发PIA的适用,则可以考虑针对自身业务模式、数据流程、制度规范等实际情况,开发适用于自身的智能化评估工具,使员工能在日常业务活动中高效便捷地推进PIA工作,降低PIA的评估成本以及对业务的影响。

    结语

    正如《礼记·中庸》所言,“凡事预则立,不预则废”。在《个人信息保护法》有望正式出台、《个人信息安全影响评估指南》行将生效之际,我们建议企业一方面提前准备、主动应对,审视自身的个人信息处理活动及合规实践,主动进行合规性评估,积极响应尽责性风险评估,同时梳理形成针对企业自身的、精炼的合规评估流程及对策;另一方面要逐步提升合规意识,将个人信息安全影响评估内化为一种合规能力,提前识别核心风险,找到最优解决方案,赋能产品发展。

     

    【注释】

    6. 《指南》第5.2.2条“制定评估计划” 计划需清楚规定完成个人信息安全影响评估工作所进行的工作、评估任务分工、评估计划表。此外,计划还需要考虑到待评估场景中止或撤销的情况。具体操作时考虑以下方面:
    c) 进行评估每一步骤所需资源,如自动化的评估工具等。

    03 关于团队

    中伦网络安全与数据合规团队是国内最早涉足网络安全领域的专业团队,中伦合伙人多次受邀参互联网、网络安全、数据保护等领域的立法研究和研讨工作,中伦的律师在此领域的学术研究也非常活跃。团队合伙人作为全国律师协会的专家参与了《网络安全法》、《关键信息基础设施保护条例(征求意见稿)》及网信办系列配套规章、个人信息保护规则、国家标准的制定和研讨工作。

    中伦团队与世界领域的数据合规专家进行深入合作,擅长协助企业建立和完善满足中国、欧盟及美国等多司法辖区要求的网络安全和数据合规体系,并且对于涉及各类新兴技术和数据、信息以及网络安全的业务具有专长,协助各类企业等处理复杂的数据收集、处理、安全、跨境转移和数据泄露危机处理等各类事宜。

    陈际红 中伦律师事务所 合伙人

    陈际红律师于1996年毕业于清华大学获硕士学位,至今执业二十余年,并担任全国律师协会网络与高新技术委员会副主任,为众多国际企业提供法律服务,并多次参与知识产权、电信、IT有关法律法规的研讨与立法工作。

    陈律师擅长知识产权与TMT领域的法律事务,包括网络安全、隐私与数据保护、电信、电子商务、知识产权侵权诉讼、专利与商标申请、知识产权许可与交易、计算机软件、不正当竞争、IT企业的投资与收购、互联网知识产权保护,多次获得钱伯斯Chambers & Partners通信媒体领域获得第一级别推荐、LEGALBAND年度中国律师特别推荐榜15强:网络安全与数据合规、中国年度最佳电信法律师(Telecoms Sector Lawyer of the Year in China)、ALB中国十五佳TMT律师等荣誉称号。

    邮箱:chenjihong@zhonglun.com

    陈瑊 中伦律师事务所 资深律师

    陈瑊律师毕业于伊利诺伊大学香槟分校获法学硕士学位,至今执业十余年,具有中国律师资格及美国纽约州律师资格,擅长的专业领域包括TMT、网络安全、数据合规、增值电信合规、云计算、人工智能、电子商务等。陈瑊律师曾为多家国内外企业提供网络安全与数据合规法律服务、知识产权诉讼及交易服务,并为多家大型国企提供常年法律服务,她的客户行业覆盖广泛,包括互联网、电信、汽车、保险、金融、电子商务、新能源、房地产、零售和制造业等。

    邮箱:chenjianbj@zhonglun.com

    杨润 中伦律师事务所 实习律师

    杨润律师于2019年毕业于中国政法大学获法学硕士学位,擅长GDPR等多法域的数据保护合规、网络安全法、电信及知识产权保护相关法律问题。杨润律师曾深度参与多个网络安全与数据合规项目,所服务客户集中于互联网、车联网、物联网、金融等行业领域,擅长为企业提供GDPR合规及数据合规体系搭建等服务。

    邮箱:evayang@zhonglun.com

    骆天 中伦律师事务所 律师助理

    骆天律师于2020年毕业于中国人民大学获法学硕士学位,擅长个人信息保护,数据保护及网络安全合规,商标确权,著作权,商标侵权,知识产权保护等相关领域。骆天律师曾深度参与多个网络安全与数据合规项目、知识产权诉讼等项目,同时为知名企业提供常年法律服务,具有丰富的理论及事务经验。

    邮箱:luotian@zhonglun.com